Android-приложение магазина одежды тайно сливало данные со смартфонов на Android

Популярное китайское приложение для совершения покупок в интернете SHEIN копировало содержимое буфера обмена операционной системы Android и отсылало его на удалённый сервер.

Оказалось, что время от времени этому приложению требовалась проверка буфера обмена для определения данных, необходимых для совершения покупки. Поэтому если в буфере содержались знаки $ и ://, приложение сразу инициировало отправку строк теста с этими знаками на удалённый сервер. Все данные захватывались и выходили за пределы приложения, что никак не способствует конфиденциальности.

Специалисты по безопасности, обнаружившие проблему, считают, что у разработчиков SHEIN не было злого умысла, но эти функции не нужны приложению для онлайн-покупок. К тому же такой возможностью в любой момент могут воспользоваться хакеры. И не стоит забывать, что в буфере обмена могут содержаться платёжные данные и пароли.

Сразу после обнаружения опасности все данные были переданы в Google, что привело к исправлению бреши в безопасности. Уязвимость была обнаружена в версии приложения 7.9.2, вышедшей в декабре прошлого года, а текущая сборка — 9.0.0.